Основы криптографии Учебное пособие - Алферов А.П.
ISBN 5-85438-025-0
Скачать (прямая ссылка):
A,=a^=(zm,y+t.
Тогда общий ключ к имеет вид
к = ar,>r'+Vl+ +г,-[ґ° modр = AgA1 ...At_, modр.
403
І лава 75
Протокол состоит из следующих шагов:
(1) каждый пользователь U1 рассылает Z1 остальным t— 1 пользователям;
(2) каждый пользователь Ut вычисляет значение
X1 = (z/+1 /zt_{ Y1 modр и рассылает его остальным t-1 пользователям;
(3) каждый пользователь U1 вычисляет значение общего ключа к по формуле
к, - (Zbl)"' • ХГ' ¦ X1M ¦ - • Jf,1,-3 • х'ш_г mod р.
Покажем, что данное значение является искомым ключом. В самом деле,
Л 1 . Yf~x . Yt-2 . . Y2 .F1
yiI-] j\t+] ... -Л|+/_з -
= 4-і • (4-Л) • (4-і X, Jf,,. )••••• (4-1*. -г». • Jf,+,-2) = = 4-і44,і-4-2 = Л44.-4-1-
Поэтому кі = к.
Протокол требует передачи 2t(t - 1) сообщений, причем каждый пользователь должен отправлять сообщения всем остальным. Можно модифицировать протокол для случая обмена сообщениями по схеме двунаправленного кольца.
Рассмотренный протокол не решает задачи аутентификации, поскольку в нем не заложено процедур для взаимной аутентификации сторон.
§ 15.6. Возможные атаки на протоколы распределения ключей
При анализе протоколов обычно рассматривают несколько видов атак. Одну из них мы уже упоминали при рассмот-
404
І Іротокольї распределения ключей
рении протокола Диффи — Хеллмана. Она называется “злоумышленник в середине” и заключается в полной подмене всех сообщений между сторонами. Для защиты от нее необходимо дополнить протокол средствами взаимной аутентификации сторон. Это могут быть либо дополнительные, либо встроенные процедуры взаимной аутентификации. Использование дополнительных процедур в протоколе не всегда удобно, так как злоумышленник может подменять не все сообщения, а только относящиеся к выработке ключа. Более предпочтительно, чтобы аутентификация была заложена в сами процедуры выработки ключа, и в случае активного вмешательства протокол заведомо давал бы различные значения ключа сторонам и злоумышленнику.
Еще один тип атак связан с повтором или обратным отражением ранее переданных сообщений — “атака отражением”. Для защиты от таких атак протоколы специально делают несимметричными, включая в зашифрованные сообщения идентификаторы сторон либо изменяя процедуры так, чтобы стороны должны были выполнять разные действия.
Возможны также атаки, при которых нарушитель, выступая от имени одной из сторон и полностью имитируя ее действия, получает в ответ сообщения определенного формата, необходимые для подделки отдельных шагов протокола. В данном случае успех атаки определяется тем, насколько протокол устойчив к подобным подменам. Поэтому для защиты от таких атак используют различные форматы сообщений, передаваемых на разных шагах протокола, а также вставляют в них специальные идентификационные метки и номера сообщений.
Наконец, в протоколах с использованием третьей стороны возможны атаки, основанные на подмене доверенного сервера. Например, одна из сторон, имеющая доверительные отношения с сервером, выступает от его имени, подменяет его трафик обмена с другими сторонами и в результате получает возможность раскрывать значения генерируемых центром ключей. Эта атака может быть успешной для протоколов, в
405
І лава 1b
которых аутентификация при доступе к серверу основана только на идентификаторах сторон и случайных числах, генерируемых при каждом взаимодействии. Для защиты от таких атак применяют средства привязки ключей не к одной, а к обеим взаимодействующим сторонам путем передачи обоих идентификаторов в зашифрованном виде.
В целом при анализе протоколов распределения ключей применяют различные методы. Это и эвристические подходы, основанные на имеющемся наборе практических приемов и известных атаках, зарекомендовавших себя при анализе других протоколов. Обоснование стойкости протоколов часто проводится путем доказательства различных результатов о сведении задачи вскрытия протокола к известным труднорешаемым математическим проблемам либо путем оценки сложности задач в рамках некоторой модели вычислений. Многие свойства протоколов можно сформулировать с помощью теоретико-информационных понятий, связанных с оценкой количества информации, которая становится известной в результате анализа передаваемых сообщений. Наконец, в [Bur90] предложен формальный метод анализа протоколов, получивший название BAN-логики. В нем все шаги протокола и передаваемые сообщения записываются в некотором стандартном формализованном виде, а затем осуществляется их формальный анализ при некоторых типовых предположениях о возможном поведении сторон. Данные формальные доказательства относятся в основном к корректности протоколов и не всегда могут рассматриваться как доказательство их безопасности.
Контрольные вопросы
1. Каковы преимущества централизованного распределения ключей?
2. Какие шифры нельзя использовать в протоколе Шамира?
3. Каков недостаток протокола Нидхэма — Шредера?
406
Протоколы распределения ключей
4. С какой целью вводится второй сервер в протоколе Kerberos?